在用于语法突出显示的 JavaScript 库 highlight.js 中发现一个问题。如果网站或应用程序渲染用户提供的数据，则可能受到 Prototype Pollution 的影响。这可能会导致未正确处理未知属性的应用程序出现奇怪行为或崩溃。

对于 Debian 9 stretch，已在版本 8.2+ds-5+deb9u1 中修复此问题。

我们建议您升级 highlight.js 程序包。

如需了解 highlight.js 的详细安全状态，请参阅其安全跟踪页面：
https://security-tracker.debian.org/tracker/highlight.js

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行自动清理和排版。

在 highlight.js (一個用於語法醒目提示的 JavaScript 庫) 中發現一個問題。如果網站或應用程式呈現使用者提供的資料，則可能受到原型污染弱點影響。這可能會導致未正確處理未知屬性的應用程式行為異常或損毀。

針對 Debian 9 Stretch，已在 8.2+ds-5+deb9u1 版本中修正此問題。

建議您升級 highlight.js 套件。

如需有關 highlight.js 安全性狀態的詳細資訊，請參閱其安全追蹤頁面：
https://security-tracker.debian.org/tracker/highlight.js

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

远程主机上安装的 MySQL Enterprise Monitor 版本受到 2022 年 7 月 CPU 公告中提及的多个漏洞影响。   
  - Oracle MySQL 的 MySQL Enterprise Monitor 产品中存在漏洞（组件：Monitoring: General (highlight.js)）。支持的版本中受影响的是 8.0.30 和较早版本。攻击者可构建恶意 HTML 代码块，在突出显示期间导致基础对象的原型发生原型污染。此污染应该只是无害的数据，但这可能对不希望有这些属性的应用程序造成问题，并可能导致异常行为或应用程序崩溃，即潜在的 DOS 向量。(CVE-2020-26237)   
  - Oracle MySQL 的 MySQL Enterprise Monitor 产品中存在漏洞（组件：Monitoring: General (Apache Struts)）。受影响的支持版本为 8.0.30 及更低版本。如果开发人员通过使用 %{...} 语法应用强制 OGNL 评估，则某些标签属性仍可执行双重评估。对不受信任的用户输入使用强制 OGNL 评估可导致远程代码执行和安全性降级。 (CVE-2021-31805)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号进行判断。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  -Highlight.js 是以 JavaScript 撰寫的語法螢光筆。 9.18.2 和 10.1.2 之前的Highlight.js 版本容易受到原型污染。攻擊者可建構惡意 HTML 程式碼區塊，在醒目顯示期間造成基礎物件的原型發生原型污染。如果您允許使用者透過剖析 Markdown 程式碼區塊 (或類似的程式碼區塊) 將自訂 HTML 程式碼區塊插入您的頁面/應用程式且不篩選使用者可提供的語言名稱您就可能容易遭受攻擊。污染的資料應該只是無害的資料但這可能會對不預期這些內容存在的應用程式造成問題並可導致奇怪的行為或應用程式損毀即潛在的 DOS 向量。如果您的網站或應用程式未轉譯使用者提供的資料則應該不會受到影響。 9.18.2 和 10.1.2 及更新的版本包含此弱點的修正。如果您使用的是 7 或 8 版建議您升級至較新的版本。
    (CVE-2020-26237)

請注意，Nessus 依賴供應商報告的套件存在。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Highlight.js 是一个用 JavaScript 编写的语法荧光笔。 9.18.2 和 10.1.2 之前的 Highlight.js 版本容易受到 Prototype 污染的影响。攻击者可构建恶意 HTML 代码块，在突出显示期间导致基础对象的原型发生原型污染。如果您允许用户通过解析 Markdown 代码块或类似内容在您的页面/应用中插入自定义 HTML 代码块且不过滤用户可提供的语言名称则您可能会容易受到攻击。污染应该只是无害的数据但这可能会造成未预期存在这些属性存在的应用程序出现问题并可能导致异常行为或应用程序崩溃即潜在的 DOS 矢量。如果您的网站或应用程序不呈现用户提供的数据则应该不受影响。版本 9.18.2 和 10.1.2 以及更高版本包含针对此漏洞的修复。如果您使用的是版本 7 或 8我们鼓励您升级到更新的版本。
    (CVE-2020-26237)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

遠端主機上安裝的 MySQL Enterprise Monitor 版本受到 2022 年 7 月 CPU 公告中提及的多個弱點影響。   
  - Oracle MySQL 的 MySQL Enterprise Monitor 產品中存在的弱點 (元件：Monitoring: General (highlight.js))。受到影響的支援版本是 8.0.30 和之前的版本。攻擊者可建構惡意 HTML 程式碼區塊，在醒目顯示期間造成基礎物件的原型發生原型污染。此污染應該只是無害的資料，但這可能對不希望存在這些屬性的應用程式造成問題，並可能導致異常行為或應用程式損毀，即潛在的 DOS 向量。(CVE-2020-26237)   
  - Oracle MySQL 的 MySQL Enterprise Monitor 產品中存在的弱點 (元件：Monitoring: General (Apache Struts))。受影響的支援版本爲 8.0.30 以及之前版本。如果開發人員使用 %{...} 語法套用強制 OGNL 評估，則某些標籤屬性仍可執行雙重評估。對未受信任的使用者輸入使用強制 OGNL 評估可導致遠端程式碼執行和安全性降級。 (CVE-2021-31805)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Highlight.js は JavaScript で記述された構文ハイライトです。 9.18.2 および 10.1.2 より前の Highlight.js バージョンは、Prototype Pollution に対して脆弱です。悪意のある HTML コードブロックが細工され、ハイライト中にベースオブジェクトのプロトタイプのプロトタイプ汚染が発生する可能性があります。ユーザーが、マークダウンコードブロックまたは類似の解析を介して、ページ/アプリにカスタム HTML コードブロックを挿入することを許可し、ユーザーが提供できる言語名をフィルターしない場合、脆弱である可能性があります。汚染は無害なデータになるだけですが、これにより、これらのプロパティの存在を予期しないアプリケーションに問題が生じ、異常な動作やアプリケーションのクラッシュ、つまり DOS ベクトルの可能性があります。ウェブサイトまたはアプリケーションがユーザー提供のデータをレンダリングしない場合、影響を受けません。バージョン 9.18.2 および 10.1.2 以降には、この脆弱性の修正が含まれています。バージョン 7 または 8 を使用している場合は、新しいリリースにアップグレードすることをお勧めします。
    (CVE-2020-26237)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモートホストにインストールされている MySQL Enterprise Monitor のバージョンは、2022 年 7 月の CPU のアドバイザリに記載されている複数の脆弱性の影響を受けます。   
  - Oracle MySQL の MySQL Enterprise Monitor 製品における脆弱性 (コンポーネント :  監視：General (highlight.js))。影響を受けるサポート対象のバージョンは8.0.30以前です。悪意のある HTML コードブロックが細工され、ハイライト中にベースオブジェクトのプロトタイプのプロトタイプ汚染が発生する可能性があります。汚染は無害なデータであるべきですが、これは、これらのプロパティが存在することを期待していないアプリケーションに問題を引き起こし、奇妙な動作やアプリケーションのクラッシュ (つまり、潜在的な DOS ベクトル) を引き起こす可能性があります。(CVE-2020-26237)   
  - Oracle MySQL の MySQL Enterprise Monitor 製品における脆弱性 (コンポーネント :  監視：一般（Apache Struts））。影響を受けるサポートされたバージョンは 8.0.30 以前です。開発者が %{...} 構文を使用して強制 OGNL 評価を適用した場合、タグの属性の一部が二重評価を実行する可能性があります。信頼できないユーザー入力で強制 OGNL 評価を使用すると、リモートコードの実行やセキュリティの低下につながる可能性があります。(CVE-2021-31805)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

構文のハイライト用のJavaScriptライブラリであるhighlight.jsに問題が見つかりました。Webサイトまたはアプリケーションがユーザーが提供するデータをレンダリングする場合、Prototype Pollutionの影響を受ける可能性があります。これにより、不明なプロパティを適切に処理しないアプリケーションの異常な動作やクラッシュが発生する可能性があります。

Debian 9 'Stretch'では、この問題はバージョン8.2+ds-5+deb9u1で修正されています。

お使いのhighlight.jsパッケージをアップグレードすることを推奨します。

highlight.jsの詳細なセキュリティステータスについては、次のセキュリティトラッカーページを参照してください
https://security-tracker.debian.org/tracker/highlight.js

注：Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリーから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

The Linux/Unix host has one or more packages installed that are impacted by a vulnerability without a vendor supplied patch available.

  - Highlight.js is a syntax highlighter written in JavaScript. Highlight.js versions before 9.18.2 and 10.1.2     are vulnerable to Prototype Pollution. A malicious HTML code block can be crafted that will result in     prototype pollution of the base object's prototype during highlighting. If you allow users to insert     custom HTML code blocks into your page/app via parsing Markdown code blocks (or similar) and do not filter     the language names the user can provide you may be vulnerable. The pollution should just be harmless data     but this can cause problems for applications not expecting these properties to exist and can result in     strange behavior or application crashes, i.e. a potential DOS vector. If your website or application does     not render user provided data it should be unaffected. Versions 9.18.2 and 10.1.2 and newer include fixes     for this vulnerability. If you are using version 7 or 8 you are encouraged to upgrade to a newer release.
    (CVE-2020-26237)

Note that Nessus relies on the presence of the package as reported by the vendor.

An issue has been found in highlight.js, a JavaScript library for syntax highlighting. If a website or application renders user provided data it might be affected by a Prototype Pollution. This might result in strange behavior or crashes of applications that do not correctly handle unknown properties.

For Debian 9 stretch, this problem has been fixed in version 8.2+ds-5+deb9u1.

We recommend that you upgrade your highlight.js packages.

For the detailed security status of highlight.js please refer to its security tracker page at:
https://security-tracker.debian.org/tracker/highlight.js

NOTE: Tenable Network Security has extracted the preceding description block directly from the DLA security advisory. Tenable has attempted to automatically clean and format it as much as possible without introducing additional issues.

The version of MySQL Enterprise Monitor installed on the remote host are affected by multiple vulnerabilities as referenced in the July 2022 CPU advisory.   
  - Vulnerability in the MySQL Enterprise Monitor product of Oracle MySQL (component: Monitoring: General     (highlight.js)). Supported versions that are affected are 8.0.30 and prior. A malicious HTML code block can be     crafted that will result in prototype pollution of the base object's prototype during highlighting.     The pollution should just be harmless data but this can cause problems for applications not expecting these     properties to exist and can result in strange behavior or application crashes, i.e. a potential DOS vector.     (CVE-2020-26237)   
  - Vulnerability in the MySQL Enterprise Monitor product of Oracle MySQL (component: Monitoring: General     (Apache Struts)). Supported versions that are affected are 8.0.30 and prior. some tag attributes could perform a     double evaluation if a developer applied forced OGNL evaluation by using the %{...} syntax. Using forced OGNL     evaluation on untrusted user input can lead to a Remote Code Execution and security degradation. (CVE-2021-31805)

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
144666	Debian DLA-2511-1：highlight.js 安全更新	Nessus	Debian Local Security Checks	2021/1/4	2022/10/21	high
144666	Debian DLA-2511-1：highlight.js 安全性更新	Nessus	Debian Local Security Checks	2021/1/4	2022/10/21	high
163292	Oracle MySQL Enterprise Monitor DOS（2022 年 7 月 CPU）	Nessus	CGI abuses	2022/7/20	2024/10/23	critical
250926	Linux Distros 未修補的弱點：CVE-2020-26237	Nessus	Misc.	2025/8/18	2026/4/28	high
250926	Linux Distros 未修补的漏洞：CVE-2020-26237	Nessus	Misc.	2025/8/18	2026/4/28	high
163292	Oracle MySQL Enterprise Monitor (2022 年 7 月 CPU)	Nessus	CGI abuses	2022/7/20	2024/10/23	critical
250926	Linux Distros のパッチ未適用の脆弱性: CVE-2020-26237	Nessus	Misc.	2025/8/18	2026/4/28	high
163292	Oracle MySQL Enterprise Monitor (2022 年 7 月 CPU)	Nessus	CGI abuses	2022/7/20	2024/10/23	critical
144666	Debian DLA-2511-1 : highlight.jsのセキュリティ更新	Nessus	Debian Local Security Checks	2021/1/4	2022/10/21	high
250926	Linux Distros Unpatched Vulnerability : CVE-2020-26237	Nessus	Misc.	2025/8/18	2026/4/28	high
144666	Debian DLA-2511-1 : highlight.js security update	Nessus	Debian Local Security Checks	2021/1/4	2022/10/21	high
163292	Oracle MySQL Enterprise Monitor (July 2022 CPU)	Nessus	CGI abuses	2022/7/20	2024/10/23	critical

检测

插件搜索

high

high

critical

high

high

critical

high

critical

high

high

high

critical